- распределение реквизитов разграничений доступа (паролей, ключей шиф{ вания и т. п.);

- организацию явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте модификациях оборудования и программного обеспечения и т. п.

Реагирование на нарушение режима безопасности. В документах, определяющих политику информационной безопасности предприятия, должны быть описаны процедуры реагирования на нарушение режима безопасности, в частности v формационной безопасности. Основные разделы перечислены ниже.

- Оперативное реагирование на сигналы пожарной, аварийной и тревожной сигнализации.

- Реагирование на неправомочные действия сотрудников.

- Реагирование на неправомочные действия сторонних лиц и организаций

В организации должен быть описан порядок реагирования на подобные события.

3. Программно-технический уровень подсистемы безопасности.

Используемые программно-технические средства подсистемы безопасности представляют встроенно-наложенную структуру.

Общая схема интеграции встроенных и наложенных программно-технических средств представлена на рис.

Программно-технические меры, обеспечивающие безопасность АИС, включают в себя создание в региональных и районных инспекциях сегментированных сетей с поддающимися контролю точками взаимодействия, настраиваемыми механизмами управления доступом, развитой системой регистрации и учета, средствами обеспечения целостности информации, дополненными программными средствами автоматического реагирования на попытки НСД и средствами кодирования информационных потоков при обмене информацией.

Согласно техническим требованиям все компоненты подсистемы безопасности должны допускать централизованное администрирование, автоматизацию административных действий, проективное управление. Помимо этого, одним из обязательных механизмов защиты в подсистемах безопасности должен быть механизм протоколирования и аудита, все подсистемы должны предоставлять регистрационную информацию в объеме, достаточном для выявления несанкционированных действий в реальном масштабе времени.

К клиентским рабочим местам, построенным на ПК под управлением ОС Windows, предъявляются дополнительные меры безопасности. К ним относятся минимизация числа ПК с внутренними дисководами гибких магнитных дисков и введение дополнительных мер физического контроля для ПК с этими дисководами, использование в сетях под управлением ОС Windows только сетевых принтеров, организация контроля за возможностью подключения к ПК локальных внешних устройств записи и хранения информации и локальных принтеров путем проверки целостности файлов конфигурации ПК.

Подсистема безопасности включает в себя фильтрующие (экранирующие) маршрутизаторы для обеспечения первого рубежа защиты информации и контроля информационных потоков, межсетевой экран для обеспечения контроля доступа к информационным и сетевым ресурсам, криптошлюз и систему управления ключами для создания Защищенной виртуальной ведомственной сети, кодирования информационных потоков, системы идентификации и аутентификации, средства тестирования защищенности сетевых ресурсов, средства аудита, средства контроля и предупреждения о подозрительной активности и попытках НСД.

Аутентификация и авторизация. Каждый пользователь, прежде чем получить право доступа к информационным ресурсам и совершить какое-либо действие, должен идентифицировать себя. Обычный способ идентификации — введение имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользователя. Стандартное средство проверки подлинности (аутентификация) — пароль, хотя могут использоваться и другие средства и их комбинации.

Существенной оказывается политика управления пользовательскими паролями, определяющая правила их назначения, хранения, изменения и другие связанные с этим вопросы.

В подсистемах с низкими требованиями к обеспечению безопасности, пароль должен меняться каждые три месяца, а по мере увеличения значимости вопросов, связанных с несанкционированным доступом, указанный срок должен быть уменьшен. По истечении срока жизни пароля, пользователь извещается о необходимости изменения пароля и блокированием доступа в систему в случае неподчинения.

Разграничение доступа. Разграничение доступа к информационным ресурсам АИС для внешних пользователей осуществляется средствами межсетевого экрана и заданными правилами доступа к приложениям посредством использования шлюзов приложений.

Для обеспечения системной безопасности на серверах, на которых выполняются критически важные приложения, используется специальное программное средство (например, Solstice Security Manager (SSM).

SSM поддерживает выполнение таких функций обеспечения безопасности, как администрирование пользователей, управление доступом, аутентификация пользователей, мониторинг активности пользователей, управление регистрацией и контроль целостности.

Мониторинг и аудит. Сканер безопасности сетевых сервисов (CyberCop Scaner), выполняет периодический анализ состояния безопасности сетевой среды и ее конфигурации. Эти работы проводятся с рабочего места администратора безопасности.

Автоматический сканер безопасности CyberCop Scaner обеспечивает проверку приложений Intranet, WWW—серверов, межсетевых экранов и фильтрующих маршрутизаторов, сканируя имеющиеся сетевые интерфейсы и сервисы и определяя надежность системы и ее защищенность по отношению к попыткам НСД.

Межсетевое экранирование. Подсистема безопасности включает в себя фильтрующий (экранирующий) маршрутизатор для обеспечения первого рубежа защиты информации и контроля информационных потоков, межсетевой экран для обеспечения контроля доступа к информационным и сетевым ресурсам, средства идентификации и аутентификации, средства тестирования защищенности. сетевых ресурсов, средства аудита, средства контроля и предупреждения о подозрительной активности и попытках НСД, средства кодирования информационных потоков и систему управления ключами кодирования.

Информационные потоки после межсетевого экрана разделяются экранирующим маршрутизатором, что обеспечивает разделение потоков на нешифрованные (для организации ограниченного внешнего доступа) и шифрованные (проходящие через установленный шлюз кодирования).

Подсистема канального шифрования. Одной из важнейших задач обеспечения информационной безопасности является защита потоков данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом — криптографическим.

Использование выделенных линий не дает особых преимуществ в плане безопасности перед линиями общего пользования. Некоторая часть выделенных линий хотя бы частично располагается в неконтролируемой зоне, где ее могут повредить или организовать несанкционированное подключение к ней. Реальным достоинством этого типа линий является их гарантированная пропускная способность.